Sicherheitshinweis zu Cyberaktivitäten von APT 28
Joint Cybersecurity Advisory zu russischer Cybergruppierung APT 28
In einer weltweit koordinierten Operation namens DYING EMBER wurden am 26. Januar 2024 unter der Federführung des US-amerikanischen Federal Bureau of Investigation (FBI) kompromittierte Netzwerkgeräte bereinigt, die von dem russischen Cyberakteur APT 28 als Teil seines Spionagenetzwerks genutzt wurden. Das Bundesamt für Verfassungsschutz (BfV) war von Beginn an in die Maßnahme eingebunden und arbeitete bei der Umsetzung gemeinsam mit den Landesämtern für Verfassungsschutz eng und produktiv mit dem Bundeskriminalamt (BKA) und den Landeskriminalämtern zusammen.
APT 28 hatte eine initiale Infektionen durch die Schadsoftware „Moobot“ ausgenutzt und sich Zugriffe auf kompromittierte Geräte durch offen einsehbare Standardpasswörter oder ein „Moobot“-Backdoor-Passwort verschafft. Nach Erkenntnissen des BfV wurde die weltweit verteilte Infrastruktur in den vergangenen zwei Jahren von APT 28 auch für Angriffe auf deutsche Ziele verwendet. Der Fokus der Angriffe lag dabei auf Informationen über die politisch-strategische Ausrichtung Deutschlands im Zusammenhang mit Russland und Unterstützungslieferungen militärischer Güter für die Ukraine. Darüber hinaus wurden auch Ziele in anderen EU- und NATO-Staaten angegriffen. Die Eigentümer der kompromittierten Geräte stellten sehr wahrscheinlich nicht das eigentliche Ziel der Angriffe von APT 28 dar. Stattdessen wurden die Geräte zur Verschleierung der eigenen Angriffsinfrastruktur verwendet.
Die Gruppierung APT 28 ist seit mindestens 2004 weltweit vor allem im Bereich Cyberspionage aktiv, wobei sie in der Vergangenheit auch Desinformations- und Propagandakampagnen im Cyberraum durchführte. Sie zählt zu den aktivsten und gefährlichsten Cyberakteuren weltweit. Das BfV rechnet APT 28 dem russischen Militärnachrichtendienst GRU zu.
In dem mit internationalen Partnern herausgebrachten Advisory werden Indikatoren genannt, die auf eine Infektion hinweisen, sowie Handlungsempfehlungen gegeben, wie diese beseitigt werden kann.
Das Bundesamt für Verfassungsschutz ist für die Abwehr von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste sowie von Extremismus zuständig und steht als vertraulicher Ansprechpartner zur Verfügung.
wirtschaftsschutz@bfv.bund.de
+49(0)228-99/792-3322